Am 14. September 2017 haben wir eine überarbeitete Fassung unserer Datenschutzrichtlinie veröffentlicht. Wenn Sie video2brain.com weiterhin nutzen, erklären Sie sich mit diesem überarbeiteten Dokument einverstanden. Bitte lesen Sie es deshalb sorgfältig durch.

Netzwerksicherheit Grundkurs

Gültigkeit eines Zertifikats überprüfen

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Die Gültigkeit eines Zertifikats muss überprüft werden können, um es sinnvoll einzusetzen. Hierfür stehen unterschiedliche Methoden zur Verfügung.

Transkript

Ein Zertifikat wird nur dann eingesetzt, wenn es gültig ist. Ob es gültig ist, wird, bevor es eingesetzt wird, durch mehrfache Mechanismen überprüft. Ich möchte Ihnen an dieser Stelle zeigen, welche Mechanismen dort aktiv sind. Der erste Mechanismus nennt sich Exact Match. Wenn die Stellenschlüsselkennung im Zertifikat mit dem Namen der übergeordneten Zertifizierungsstelle und ihrer Zertifikatsseriennummer gefüllt ist, wird im Client nach einem Zertifikat gesucht, das diese Seriennummer hat und als Antragsteller die gleiche Information des geprüften Zertifikats besitzt. Neben dieser Übereinstimmung muss die Schlüssel-ID in der Stellenschlüsselkennung des zu prüfenden Zertifikats mit der Schlüsselkennung des Antragstellers übereinstimmen. Schauen wir uns an, was sich dahinter verbirgt Wir haben hier auf dem einen Zertifikat die Stellenschlüsselkennung angeklickt. und wir sehen hier eine Schlüssel-ID, einen Informationssatz hinsichtlich des Ausstellers und die Seriennummer des Zertifikats. Laut diesem Mechanismus müssen wir als erstes nach der Seriennummer schauen. Die haben wir: 01, 01. Als Nächstes müssen wir schauen, ob die Informationen, die hier stehen, identisch sind mit den Informationen des Antragstellers. Damit haben wir den ersten Teil des sogenannten Exact Match durchgeführt. Als Nächstes müssen wir die Schlüssel-ID überprüfen. Die haben wir hier. Diese Schlüssel-ID muss übereinstimmen mit der Schlüsselkennung des Antragstellers. Schauen wir, ob das passt. 0dbb2857 Und hier genau so. Damit haben wir bewiesen, dass dieses Zertifikat von dieser Zertifizierungsstelle abstammt. Echtheit bestätigt. Stempel drauf. Wird nun dieses Zertifikat erneuert, wird automatisch die Seriennummer eine andere sein. Demzufolge bringt diese Überprüfung keine Echtheit, keine Garantie mehr. Deswegen muss ein anderer Mechanismus herangezogen werden. Der nächste Mechanismus nennt sich Key Match. Mit dessen Hilfe wird das Zertifikat auf Echtheit überprüft. Enthält die Stellenschlüsselkennung nur den Hash-Wert des öffentlichen Schlüssels der übergeordneten Zertifizierungsstelle, wird das System versuchen, ein Zertifikat zu suchen, dass bei gleichem Hash-Algorithmus einen gleichen Wert in der Schlüsselkennung des Antragstellers hat. Schauen wir uns an, was sich dahinter verbirgt. Die Information, die wir hier sehen, die hier, ist nicht zwingend notwendig. Das bedeutet, es kann ohne weiteres sein, dass diese Information sich nicht im Zertifikat befindet. Demnach haben wir nur diese sogenannte Schlüssel-ID. Und Key Match bedeutet, dass diese Schlüssel-ID die gleiche ist, die Sie hier bei der Schlüsselkennung des Antragstellers wiederfinden. Das ist der Fall. Wichtig ist in dem Zusammenhang natürlich, dass hier an diesen Stellen die gleichen Algorithmen verwendet werden. Sonst muss das an die jeweiligen Algorithmen angepasst werden. Wird dieses Zertifikat der Zertifizierungsstelle mit demselben Schlüsselpaar erneuert, verliert auch diese Prüfung ihre Gültigkeit. Hat die Stellenschlüsselkennung keinen gültigen Wert, wird nun ein Zertifikat gesucht, das im Ausstellernamen als Inhalt den Wert des Feldes des Antragstellers hat. Das bedeutet, dass in dem Zertifikat, das zur Überprüfung ansteht, dieses hier, der Aussteller überprüft wird und dann geht man in das Zertifizierungszertifikat das Stammzertifizierungsstellenzertifikat, und sucht dort nach dem Antragsteller. Diese Informationen müssen übereinstimmen. info@video2brain ..., Video2Brain CA, DV, Video2Brain, Graz, Steiermark, AT. Damit hätten wir die Name Match-Variante vollzogen. Wird dieses Zertifikat mit einem neuen Schlüsselpaar erneuert, kann es dazu führen, dass es hier Ungültigkeit gibt. Es findet dann nämlich eine falsche Zuordnung statt. Das heißt, der Name ist zwar identisch, aber der Überprüfung des Zertifikats kann nicht standgehalten werden. Deswegen ist sicherzustellen, dass bei der Erneuerung von Zertifikaten die alten Zertifikate entfernt werden. Das ist also immer ratsam und sinnvoll, wenn es in irgendeiner Form Zertifikatsschwierigkeiten gibt, dass man alte Zertifikate, die keine Gültigkeit mehr haben, schlicht und ergreifend aus dem Zertifikatsspeicher entfernt, um im Vorhinein diese Probleme zu verhindern. Eine weitere Möglichkeit, Zertifikate zu überprüfen, ist die sogenannte AIA-Information. AIA steht für Authority Info Access. AIA ist eine sogenannte Zertifikatserweiterung und muss nicht zwingend im Zertifikat vorhanden sein. Ist eine solche Erweiterung enthalten, wird diese automatisch überprüft, das heißt, es wird überprüft, ob dieses Zertifikat gültig ist oder nicht. Diese Überprüfung erfolgt über eine URL, die sich im Zertifikat befindet. Über diese URL wird ein Validierungsdienst angesprochen. Dieser Validierungsdienst überprüft nun, ob das Zertifikat gültig ist. Es kann durchaus sein, dass ein Zertifikat zwar vom Zeitraum her gültig ist, es aber nicht mehr ist, weil es kompromitiert wurde, gefälscht wurde, gestohlen wurde, da gibt es viele Möglichkeiten. Diese AIA-Information wäre eine Möglichkeit zu überprüfen, ob die Zertifikate bereits vor Ende ihrer regulären Gültigkeitszeit ungültig geworden sind. Wir haben gesehen, dass ein Zertifikat eine Menge an Prüfungen aushalten muss, bevor es als gültig anerkannt wird.

Netzwerksicherheit Grundkurs

Machen Sie sich mit den grundlegenden Konzepten der Netzwerksicherheit vertraut und erfahren Sie, wie Sie Ihre Kenntnisse unter Windows, OS X und Linux praktisch umsetzen können.

11 Std. 47 min (142 Videos)
Derzeit sind keine Feedbacks vorhanden...
 

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!